<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Nice use case mike.</div><div>It is very contextual in terms of risk.</div><div>Nice to talk about this stuff as opposed to political malarkey :)</div><div><br><br>Eoin Keary<div>Owasp Global Board</div><div>+353 87 977 2988</div><div><br></div></div><div><br>On 28 May 2013, at 23:35, Michael Coates <<a href="mailto:michael.coates@owasp.org">michael.coates@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div><div><div>Jim's example is a real concern. It can be abstracted to any situation when the owner of the system derives value by having the user logged into the account.<br><br>Think of these examples:<br>
</div>- App X that records your location every minute for some benefit : If an attacker csrf logs you into this app with the attacker's account then the attacker could track your movement.<br></div>- Similar scenario with a remote admin type app that is granted camera access. Could the attacker turn on the camera via a webpage for their account?<br>
<br></div>Login csrf is a different type of risk and doesn't always apply. But there are some specific situations where it could be a real concern.<br></div><div class="gmail_extra"><br clear="all"><div><div dir="ltr">
<br>--<br>Michael Coates | OWASP | @_mwc<br><br></div></div>
<br><br><div class="gmail_quote">On Tue, May 28, 2013 at 3:25 PM, Eoin <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
It's a bit bullshitty :)<br>
<br>
And you assume the victim Does not notice they are not logged into their account, but rather yours (the attacker).<br>
<br>
Does anyone have any attacks, case studies which result in REAL risk to a business??<br>
<div class="im HOEnZb"><br>
<br>
<br>
<br>
Eoin Keary<br>
Owasp Global Board<br>
<a href="tel:%2B353%2087%20977%202988" value="+353879772988">+353 87 977 2988</a><br>
<br>
<br>
</div><div class="HOEnZb"><div class="h5">On 28 May 2013, at 23:20, Jim Manico <<a href="mailto:jim.manico@owasp.org">jim.manico@owasp.org</a>> wrote:<br>
<br>
> For sure.<br>
><br>
> For example, if I can CSRF you to log into a Google account that I<br>
> control, I can then track all of your Google searches.<br>
><br>
> This is edge case, but still viable.<br>
><br>
> - Jim<br>
><br>
>> Does CSRF ing a login page make sense to anyone :)<br>
>><br>
>><br>
>> Eoin Keary<br>
>> Owasp Global Board<br>
>> <a href="tel:%2B353%2087%20977%202988" value="+353879772988">+353 87 977 2988</a><br>
>><br>
>> _______________________________________________<br>
>> OWASP-Leaders mailing list<br>
>> <a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
><br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</div></div></blockquote></div><br></div>
</div></blockquote></body></html>